Recent blogde ik over een boete van zes ton voor meer dan 400 miljoen spammailtjes. De OPTA legde deze op omdat de opt-in onvoldoende was, onder meer omdat er alleen werd gesproken van opt-in voor “partnermailings van Digital Magazines” zonder te melden wie die partners dan waren. Vandaag zag ik een FAQ van de DDMA over de Code E-mail, waar ik hoopte dit terug te zien.
In de FAQ staat keurig uitgelegd hoe en wanneer toestemming nodig is. Zo staat er dit lijstje:
- de ontvanger moet via een actieve handeling toestemming geven voor het ontvangen van commerciële e-mail;
- de ontvanger moet ook via een aparte actieve handeling toestemming geven voor het verstrekken van zijn e-mailadres aan derde partijen
- bij de toestemmingsvraag moet in een bij- of onderschrift duidelijk gemaakt worden dat het e-mailadres gebruikt zal worden voor het toezenden van commerciële e-mail en/of derdenverstrekking,
- alleen een bijschrift waarin staat dat de ontvanger akkoord gaat met Algemene Voorwaarden of een Privacy statement volstaat niet.
Dat is een prima vuistregel, alleen mist er één ding: de toestemming moet specifiek zijn, oftewel men moet weten wie men toestaat de commerciële mailing te sturen. Het voorbeeld verderop in de FAQ illustreert dit nog eens:
Een adverteerder met een nieuw sportdrankje, vraagt een uitgever van een sportmagazine of hij dit drankje via hun e-mailbestand onder de aandacht mag brengen. De producent van het sportdrankje krijgt de e-mailadressen dan niet fysiek in handen, maar de uitgever stuurt een dedicated e-mail aan zijn bestand waarin reclame voor de sportdrank staat.
Nergens wordt zelfs maar opgemerkt dat de uitgever wel specifieke, aparte toestemming moet hebben verkregen voor dit hergebruik van zijn bestand door deze specifieke adverteerder (en dus niet "u geeft toestemming voor reclame door derden").
Dat lijkt geen toevallige omissie, getuige deze tweet van DDMA in reactie op mijn vraag:
Goede blog, mist 1 ding: toestemming moet per derde gegeven worden en niet "derdenverstrekking" alleen http://t.co/m2mXLB0h /cc @DDMA
@ictrecht. Dank voor het compliment. Wat betreft je opm. Dat vind OPTA, maar het staat nergens zo in de wet. Of dit zo is zal de rechter moeten bepalen. #blog #DDMA #code #email
Oeh, de wet. Laten we die er eens bij pakken. Artikel 11.7 Telecomwet (Tw) eist voorafgaande toestemming van de ontvanger. Het woord 'toestemming' is gedefinieerd in artikel 11.1 Tw en wel als "toestemming van een betrokkene als bedoeld in artikel 1, onder i, van de Wet bescherming persoonsgegevens". Pakken we die wet erbij, dan zien we
elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt
Vindt de DDMA nu dat "ik geef toestemming voor uw partners om mij te mailen" "specifiek en op informatie berustend" is? Oftewel u bent afdoende geïnformeerd en u weet specifiek wat u nu gaat krijgen.
OPTA zegt hierover in dat boetebesluit:
Het is voor abonnees niet duidelijk van wie zij mailings kunnen verwachten, het wordt immers niet duidelijk wie de partners van Digital Magazines zijn. Hiermee zou een zeer brede en onbepaalde machtiging tot het verwerken van gegevens worden verkregen die volgens de wetsgeschiedenis niet als een geldige toestemming kan worden aangemerkt.
En dat slaat weer op wat in de Memorie van Toelichting bij dit wetsartikel is opgemerkt:
Een onbepaalde machtiging om persoonsgegevens te verwerken, niet gericht op bepaalde gegevens en op bepaalde vormen van verwerking, is niet toereikend. Duidelijk dient te zijn welke verwerking, van welke (soort) gegevens voor welke doeleinden zal plaatsvinden (gerichte toestemming). Tot slot moet de betrokkene zodanig zijn geïnformeerd dat hij begrijpt waarvoor hij toestemming geeft («informed consent»).
Oftewel: de ontvanger moet weten wát er gaat gebeuren en wélke (soort) mailings hij gaat krijgen. En hij moet begrijpen waar hij toestemming voor geeft. "Partnermailings" is niet begrijpelijk genoeg. Wélke partners? Wat voor mailings?
DDMA verduidelijkt in een followuptweet:
@ictrecht Nee, voor derdenverstrekking is aparte toestemming nodig. En de partners moeten of bij naam worden genoemd of bij categorie bv reisverzekering
Dat bij naam noemen is prima, maar bij categorie of het nog generiekere "onze partners" is écht te weinig. Verderop in het boetebesluit wordt bij een andere werkwijze gezegd
Bij het eerste voorbeeld van methode B geven abonnees toestemming om e-mail nieuwsbrieven van ondermeer Mail Garage en Digital Magazines te ontvangen. Als de abonnees ook daadwerkelijk nieuwsbrieven van deze partijen zouden ontvangen dan zou naar het oordeel van het college hiermee voldoende duidelijkheid zijn gegeven van welke partijen zij e-mail nieuwsbrieven mochten ontvangen.
Oftewel door de partijen te noemen en te melden dat deze partijen nieuwsbrieven sturen, is afdoende informatie gegeven wat je gaat krijgen: nieuwsbrieven van Mail Garage en Digital Magazines (en andere genoemde partijen).
Heb je een lange lijst namen, dan mag je volstaan met een hyperlink naar die lijst. Ook dat zegt OPTA expliciet:
... vervolgens een lijst met een groot aantal bedrijfsnamen, waaronder Digital Magazines en Mail Garage, werd gegeven. Het college is van oordeel dat abonnees in staat waren om te achterhalen dat zij e-mail nieuwsbrieven van Digital Magazines en Mail Garage mochten ontvangen.
Maar omdat de lijst met deelnemende bedrijfsnamen eindigde met “...en mogelijk andere derden” konden abonnees echter nooit volledig achterhalen van wie zij mailings mochten verwachten. En dát is waarom men hier de fout in ging.
De OPTA is hier zeker streng, maar gezien de wettelijke definities lijkt me dat niet meer dan terecht. Ik kan me ook werkelijk niet voorstellen dat een rechter gaat zeggen dat "toestemming voor uw partners" (zonder te noemen wie dat zijn) een afdoende toestemming is.
